Windows не удалось применить развернутые настройки подключения принтера

Обновлено: 05.07.2024

Принтеры не будут развертываться на компьютерах домена с помощью групповой политики; принтеры можно устанавливать локально на те же компьютеры, но только определенным образом

Итак, вот где мы находимся. Мы используем виртуальный сервер печати на сервере Server 2012 R2 уже много лет — он появился еще до моей работы здесь, поэтому я точно не знаю, как долго. Но это было давно. Недавно мы попытались запустить обновление на месте на существующем сервере, чтобы получить его на Server 2019. Это обновление на месте, которое мы никогда не могли заставить работать, оно каждый раз терпело неудачу. Вместо того, чтобы продолжать бороться с обновлением, мы решили просто построить совершенно новый сервер в той же виртуальной среде, просто установив Server 2019. Мы не огромная организация, поэтому это было не идеально, но это было управляемый. Создание сервера прошло практически безупречно, мы довольно быстро добавили все наши сетевые принтеры и драйверы. Вот тут и начинается самое интересное.

Как и многие другие, я уверен, что у нас есть групповые политики для развертывания определенных принтеров на компьютерах домена в зависимости от подразделения, в котором они находятся. Со старым сервером печати это работало хорошо по большей части. Однако, как только мы начали пытаться развернуть принтеры, установленные на новом сервере печати, мы зашли в тупик. Принтеры абсолютно не будут развернуты из групповой политики. Ни развертывание на компьютер, ни на пользователя не поможет. Мы пытались добавить совершенно новые групповые политики для развертывания с нового сервера печати, но это тоже не помогло. Запуск мастера результатов GP на компьютерах в подразделениях, затронутых этой групповой политикой принтеров, показывает, что политика была применена. но на самом деле принтеры не установлены.

Это, если быть вежливым, не идеально. Мы довольно маленькая организация, но нам действительно не хотелось бы тратить время на доступ к 150-200 компьютерам для ручной установки принтеров. Я читал бесчисленное множество других сообщений о нарушении развертывания GP после того, как MS выпустила исправление для эксплойта PrintNightmare и о попытках людей найти решение, но другие ситуации, которые я читал, не описываются так же, как наша. Кто-нибудь еще сталкивался с ситуацией, подобной нашей? Является ли развертывание принтеров через GP полностью нарушенным, или есть какое-то решение, которое нам еще предстоит попробовать?

Добавление дополнительной информации для этого.

Большие эксперименты показали, что мы можем без проблем развернуть принтеры через GP для ПОЛЬЗОВАТЕЛЕЙ, если политика настроена для подразделения или группы безопасности, содержащей пользователей.

Однако это не то, что нам нужно. В нашей организации есть пользователи, которые постоянно перемещаются из ветки в ветку, с машины на машину. Что нам нужно, так это чтобы у пользователя были установлены принтеры в зависимости от того, ГДЕ они находятся (развертывание для каждого компьютера), а не КТО они (развертывание для каждого пользователя). Скажем, если пользователь работал в филиале A, но ему нужно перейти в филиал B на день, мы хотим, чтобы пользователь автоматически получал принтеры филиала B при входе на машину в филиале B. Развертывание для каждого пользователя. в основном бесполезен для нас, за исключением группы пользователей, которые редко меняют местоположение.

Windows не удалось применить настройки развернутых подключений к принтеру.

У меня возникла проблема с развертыванием принтеров из объекта групповой политики. Это началось только на прошлой неделе после того, как я заменил существующие DC 2012r2 и сервер печати 2012R2 на новый DC 2019 и сервер печати. ​​Если пользователь уже получил свои принтеры из GPO, они присутствуют и работают. Если пользователю нужны принтеры для загрузки из GPO, они не будут. Когда мы запускаем gpupdate /force, мы получаем это «Windows не удалось применить настройки развернутых подключений к принтеру. Настройки развернутых подключений принтеров могут иметь свой собственный файл журнала. Пожалуйста, нажмите на ссылку «Дополнительная информация».

Все остальные объекты групповой политики обрабатываются и работают правильно.

У меня есть еще 4 контроллера домена (3 – 2012r2 и 1 – 2019) и 3 других сервера печати (2 – 2012R2 и 1 – 2019). Все рабочие станции работают под управлением Win10 (от 1908 до 21H2)

Поскольку я перечисляю все принтеры в Каталоге. Я по-прежнему могу установить принтеры вручную с серверов печати через «Добавить принтер», и они устанавливаются без проблем даже для пользователей без прав администратора.

Недавнее обновление для системы безопасности Microsoft действительно напортачило. Они когда-нибудь проверяли это с развертыванием принтеров GPO перед тем, как вывалить это туда?

Кто-нибудь еще наблюдает такое поведение? Кто-нибудь исправил это поведение?

У меня была такая же проблема, но я смог решить ее, изменив способ сопоставления принтеров в GPO.
Изначально я столкнулся с этой проблемой, когда пытался сопоставить принтеры с помощью настроек GPO пользователя в; Конфигурация пользователя — Политики — Параметры Windows — Развернутые принтеры

Однако, когда я начал сопоставлять их, используя Конфигурация пользователя - Настройки - Настройки панели управления - Принтеры
, они начали сопоставлять каждый вход в систему, и я также не получил ошибку gp "Windows не удалось применить настройки развернутых подключений к принтеру.Параметры развернутых подключений к принтеру могут иметь собственный файл журнала. Пожалуйста, нажмите на ссылку "Подробнее".

Надеюсь, это поможет

Здравствуйте!
У меня была такая же проблема.
Я временно установил RestrictDriverInstallationToAdministrators на 0.

Как вы сказали, я пытался использовать этот объект групповой политики,
Конфигурация пользователя - Настройки - Настройки панели управления - Принтеры,
но каждый раз, когда я получаю доступ к своему компьютеру, принтеры начинают сопоставляться и теряют принтер по умолчанию. .

Я не могу установить принтер по умолчанию через объект групповой политики, поскольку один и тот же объект групповой политики применяется ко всем пользователям во всех офисах.

Есть ли обходные пути? Я не могу развернуть принтеры на компьютере, потому что нет параметра GPO для развертывания общих принтеров, как в настройках пользователя, а мои принтеры установлены на сервере печати, который их разделяет.

Более странно то, что это привело к тому, что серверы печати, на которых не было обновлений, не развертывались через GPO. Самый последний сервер печати, который я установил, был 2019 года и полностью обновлен накопительным пакетом 9/21. Вот когда началась моя проблема, и сначала это был только этот сервер. Через несколько часов все мои серверы печати перестали развертывать принтеры из GPO. У моих других 3 серверов печати не было обновления 9/21. 2 из них (1 – 2012R2 и 1 – 2019) получили обновление от 21 августа, а 1 из них (1 – 2012R2) – только обновление от 21 июля.

Этот единственный сервер с обновлением от 21 сентября сломал все остальные за несколько часов.

Microsoft нужно перестать перекладывать ответственность на других и признать всех облажавшихся, кто использует серверы печати, и придумать реальное решение этой проблемы.

Я обновил сервер 2019 24 сентября 2021 года после того, как получил первое сообщение об отсутствующих принтерах , поэтому моя проблема возникла до обновления 21 сентября.

Не кажется ли вам, что это больше связано с обновлениями на устройствах с Windows 10?

Некоторые из моих устройств работают нормально - наверняка компьютеры, которые я недавно обновлял, столкнулись с этой проблемой.
Мне нужно будет проверить компьютеры, на которых нет этой проблемы, и проверить, когда они были обновлены.

Я не думаю, что это связано с рабочими станциями. У меня есть рабочие станции, которые не обновлялись в течение года, когда теперь работает развертывание принтера через GPO. Кажется, не имеет значения, это 1908 год, который не обновлялся в течение года, или это 21h2, который полностью обновлен.

Я столкнулся с этим вчера после переноса принтеров на новый сервер после того, как исходный сервер упал. Некоторым пользователям удалось установить новые подключения с помощью gpupdate, некоторым потребовалось выйти из системы или войти в систему или перезагрузиться, другие вообще отказывались работать. GPResult показал то же, что и другие - была ошибка и нажмите «Дополнительная информация», ссылка, которой, похоже, не существует. Вместо этого я изменил эти объекты групповой политики на развертывание через панель управления, чего я действительно предпочел бы не делать. Надеюсь, они скоро решат эту проблему!

Вы когда-нибудь находили что-то, что вам подходит? Я все еще борюсь с этой проблемой.

<блочная цитата>

. Обновляет требования к привилегиям при установке по умолчанию, так что вы должны быть администратором для установки драйверов при использовании Point and Print.

Внезапно у наших пользователей появляются всплывающие окна (только на компьютерах с установленным обновлением KB5005033):

Вы доверяете этому принтеру? вопрос

Чтобы заставить его снова работать (развертывание общих принтеров в домене Windows через объект групповой политики конфигурации пользователя).

Сначала есть некоторые предварительные условия в разделе Конфигурация компьютера - Политики - Административные шаблоны - Принтеры (мы уже давно включили их):

предварительные требования GPO

Фактический обходной путь* для проблемы KB5005033:

  1. На затронутых машинах для параметра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators установлено значение 0 — это также легко сделать с помощью GPO:

Обходной путь для обхода KB5005033

* Это обходной путь, а не исправление, потому что он снова делает ваши серверы печати уязвимыми (это то, что KB5005033 пытается «исправить» в первую очередь), но нам нужно печатать, верно. ?

Кто-нибудь знает, как правильно это исправить? (без уязвимости серверов печати)

2 ответа 2

Microsoft опубликовала сводку различных решений, которые мы можем использовать для управления новым поведением.

Установить драйверы печати после применения нового параметра по умолчанию

  • Укажите имя пользователя и пароль администратора при запросе учетных данных при попытке установить драйвер принтера.

  • Включите необходимые драйверы принтера в образ ОС.

  • Используйте Microsoft System Center, Microsoft Endpoint Configuration Manager или аналогичный инструмент для удаленной установки драйверов принтера.

  • Временно задайте для параметра RestrictDriverInstallationToAdministrators значение 0, чтобы установить драйверы принтера.

<цитата>

[. ]
Важно Не существует комбинации мер по снижению риска, эквивалентной установке RestrictDriverInstallationToAdministrators на 1.
[. ]

Я рекомендую вам развернуть драйверы принтеров на своих компьютерах, а затем удалить все развернутые групповые политики Point and Print и пакетные групповые политики Point and Print, так как они больше не требуются, и не устанавливать значение реестра RestrictDriverInstallationToAdministrators, поскольку это допустит уязвимость на ваших клиентах/серверах.

Не забывайте, что каждое устройство Windows, на котором включен диспетчер очереди печати, уязвимо, если вы установите для параметра реестра RestrictDriverInstallationToAdministrators значение 0 , это касается не только серверов печати, но и клиентских компьютеров и других серверов Windows!

В настоящее время используется Windows Server 2012 Standard. Я настраиваю политику развертывания принтера для всех пользователей, добавленных в Active Directory. Проблема заключается в том, что все пользователи, добавленные в качестве членов доменных администраторов, получают объект групповой политики, но все пользователи, добавленные в доменные пользователи, не получают его. В объектной политике нет спецификации для развертывания для каких-либо конкретных групп (например, администраторов, пользователей), но по умолчанию для всех пользователей, прошедших проверку подлинности.

После запуска gpresult /Scope User /v я увидел, что для пользователей домена была развернута групповая политика принтера, но принтер не был виден в разделе «Устройства и принтеры».

Поэтому все администраторы домена устанавливают принтер в разделе "Устройства и принтеры" при входе в систему. Пользователи домена, не являющиеся администраторами, не получают его.

Для пояснения, я хочу знать, как сделать это на стороне сервера, а не вручную добавлять принтеры на отдельные компьютеры, поскольку я пытаюсь научиться создавать групповые политики, которые действительно развертываются правильно.

Мы будем очень признательны за любую помощь.

Intel vPro®: что нового в 2022 году

2022-03-24 16:00:00 UTC Video Meetup Видеовстреча: Intel - Intel vPro®: что нового в 2022 г. Подробнее о событии Просмотреть все события

Точка с запятой

Этот человек является проверенным специалистом

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Итак, вы пытаетесь выполнить развертывание через WAN/VPN или ваша локальная сеть перегружена?

Если ваша рабочая станция обнаружит медленное соединение и вы не изменили значение по умолчанию, принтеры не будут обрабатываться. Я склоняюсь к этому как к возможной причине, поскольку ваши ошибки указывают на то, что GPP был пропущен из-за правил обработки на стороне клиента.

Вам потребуется настроить/настроить обработку GP по медленным каналам:

Компьютер/Политики/Административные шаблоны/Система/Групповая политика/Обработка политики принтеров: разрешить обработку при медленном сетевом соединении

Имейте в виду, однако, что есть причина, по которой принтеры (и другие элементы) не обрабатываются по медленным каналам по умолчанию — вы можете серьезно задушить и без того перегруженную сеть, если собираетесь принудительно устанавливать принтер/драйвер. через медленную/перегруженную сеть. В качестве альтернативы вы также можете настроить, как компьютеры определяют медленное соединение:

Компьютер (или пользователь)/Политики/Административные шаблоны/Групповая политика/Обнаружение медленного соединения групповой политикой

Вы не указали проблему с вашими картами дисков, хотя ошибки, которые вы перечислили, указывают на то, что карты дисков также не работают из-за этого.

16 ответов

Точка с запятой

Этот человек является проверенным специалистом

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Это общие или IP-принтеры? Если общий доступ, есть ли у пользователей домена как минимум права на печать при подключении к принтеру на сервере печати?

Выполняете ли вы развертывание с помощью настроек групповой политики? Если да, то это "создать", "обновить" или "заменить"?

Или вы выполняли развертывание с помощью параметра групповой политики (политики/параметры Windows/развернутые принтеры) и/или средства управления печатью RSAT/MMC?

Я предполагаю конфигурацию пользователя в любом случае.

Драйверы уже загружены на компьютеры? Если нет, имеют ли пользователи доступ к точке распространения драйверов? Есть ли у ваших пользователей разрешения на установку драйверов печати на рабочих станциях? Существуют ли ограничения на точку и печать?

Если пользователь заходит на компьютер, ранее занятый администратором домена, отображается ли тогда принтер?

Я хочу спросить, есть ли у них права администратора для установки драйверов для развернутого принтера.

Этот человек является проверенным специалистом

Менди

Точка с запятой написала:

Это общие или IP-принтеры? Если общий доступ, есть ли у пользователей домена как минимум права на печать при подключении к принтеру на сервере печати?

Выполняете ли вы развертывание с помощью настроек групповой политики? Если да, то это «создать», «обновить» или «заменить?»

Или вы выполнили развертывание с помощью параметра групповой политики (политики/параметры Windows/развернутые принтеры) и/или RSAT управления печатью /MMC?

В любом случае я предполагаю пользовательскую конфигурацию.

Драйверы уже загружены на компьютеры? Если нет, имеют ли пользователи доступ к точке распространения драйверов? Есть ли у ваших пользователей разрешения на установку драйверов печати на рабочих станциях? Существуют ли ограничения на точку и печать?

Если пользователь входит в систему на компьютере, ранее занятом администратором домена, появляется ли тогда принтер?

Все правильные вопросы :)


< /p>



Вот политики, которые я запустил для объекта групповой политики "Принтер".

Драйверы предварительно не загружаются на компьютеры. Я поделился ими из стандартных хранилищ драйверов сервера. У меня есть параметр безопасности для C:\Windows\system32\spool\DRIVERS\ и C:\Windows\System32\DriverStore\, установленный на «Чтение и выполнение» для группы «Прошедшие проверку». Я также поделился ими в сети как «Чтение» для группы «Прошедшие проверку».

Я пытался развернуть принтеры через Управление принтерами; через Конфигурацию пользователя >

Настройки > Принтеры (используя замену); и через Конфигурация пользователя > Политики >

Настройки Windows > Развернутые принтеры.

В средстве просмотра событий сервера, в разделе "Групповая политика" > "Работа", у меня есть куча 6033

События "Пропущено расширение групповой политики для групповых карт на основе групповой политики на стороне клиента

правила обработки. Дополнительную информацию см. в отчете о результирующем наборе правил." и

"Пропущено развернутое расширение подключений принтеров на основе групповой политики на стороне клиента

правила обработки. Дополнительную информацию см. в отчете «Результирующий набор политик».

Я запустил RSoP, указав на клиентский компьютер (все клиенты работают под Win 7 Pro x64) и стандартный профиль пользователя, но не знаю, где искать ошибки. Он просто выглядит как дубликат экрана управления групповыми политиками.

Принтер сопоставляется со статическим IP-адресом (192.168.1.7) и используется совместно с сервером (на котором установлена ​​роль сервера печати) как с IP-адресом, так и с именем: «Brother MFC-7860DW». Он также указан в каталоге.

Точка с запятой

Этот человек является проверенным специалистом

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Если пользователи действительно являются пользователями, они не смогут установить драйверы.

Точка с запятой

Этот человек является проверенным специалистом

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Если вы предоставляете общий доступ с сервера, есть ли у вас причина, по которой вы используете прямую IP-печать, а не через сервер печати? Просто любопытство.

Точка с запятой написала:

Если пользователи действительно являются пользователями, они не смогут установить драйверы.



Из других сообщений, которые я читал, у меня сложилось впечатление, что именно это нужно было установить для «Пользователи» для установки драйверов.

Точка с запятой пишет:

Если вы используете общий доступ с сервера, есть ли у вас причина, по которой вы используете прямую IP-печать, а не через сервер печати? Просто любопытство.

Точка с запятой

Этот человек является проверенным специалистом

Точка с запятой

Читайте также: